Pull to refresh

Comments 3

Ключевой урок здесь – не NTDS.DIT и не PetitPotam, а бэкап в открытой сетевой шаре. Правило для AD-сред: агент бэкапа имеет права write-only на таргет, ключи шифрования хранятся отдельно от архивов, шара закрыта на межсегментном уровне. Иначе бэкап – это просто второй вектор компрометации всего домена. Другими словами: резервные копии в открытой сетевой шаре – не бэкап, а gift wrap для пентестера.

Ну я бы еще отметил открытые SMB + IIS + с имперсонализацией. Но бэкапы, доступные обычному пользаку по RDP - это конечно эпик фэил. Также не совсем понятно, по какой причине не атаковать через заббикс, учитывая, что его агенты зачастую имеют повышенные привилегии.

В контексте логики атакуемых также не совсем понятно с одной стороны разделение доменов, но при этом одновременно хэши админов и отсутствие фаирволлов как таковых.

Поинтересуюсь про заббикс. А какие варианты? Сам юзаю другой мониторинг, поэтому и спрашиваю. (Да и немного тугодумится сегодня, выберу помощь зала XD)

Sign up to leave a comment.

Articles